首页 > 其他分享 >应急响应流程与挖矿病毒排查流程

应急响应流程与挖矿病毒排查流程

时间:2024-04-02 22:04:49浏览次数:24  
标签:流程 网络 信息 排查 进程 应急 挖矿

1. 应急响应的流程

1.1. 为什么会有应急响应?

      • 在工作过程中,会遇到突发的情况,比如:DOS攻击,渗透攻击,病毒感染,需要立即将这些问题清除掉,恢复正常的生产秩序。 这个过程就是应急响应。

1.2. 流程

      • 收集信息:收集客户的信息,以及遭遇情况的表现症状。
      • 判断类型:判断是否为安全事件,是哪一种安全事件?(勒索、挖矿、断网、Dos、蠕虫、木马)
      • 深入分析:日志分析、样本分析、启动项分析、进程分析
      • 清理处置:攻击抑制、阻断攻击、清理(杀掉进程、删除文件、打补丁、系统修复、文件恢复)
      • 恢复验证:观察系统运行情况,确认处理已经成功
      • 编写报告:将整个应急过程汇总,整理输出报告上报

2. 流程详情

2.1. 信息收集

      • 感染的设备数量
      • 补丁情况:已经打过的补丁,漏打的补丁
      • 当前的症状:资源消耗情况(CPU、内存、网络链接、磁盘使用、GPU(Linux使用TOP查看)),显示出来的和实际表现情况
      • 账号密码:确认是否存在弱口令的情况
      • 对外开放的端口
      • 目前开启的服务
      • 操作系统的版本
      • 客户的需求:比如不能断网、不允许重启应用、不能重装系统或应用

2.2. 事件类型划分

      • 有害程序:病毒、蠕虫、特洛伊木马、僵尸网络、webshell
      • 网络攻击:DoS、DDoS、后门、漏洞攻击、网络窃听、网络钓鱼、干扰类
      • 信息破坏或篡改:信息篡改、信息假冒、信息泄露、信息窃取
      • 信息内容安全:违背网络安全发或国家法律禁止的信息暴露
      • 设备设施故障:软件系统故障、保障设施故障、人为破坏
      • 灾害性事件:自然灾害、人为灾害

2.3. 分析抑制

      • 目的:采取响应操作,降低事件造成的损失
      • 方式:物理遏制、网络遏制、主机遏制、程序遏制
          • (断网)、(网络封禁)、(关机、降低响应用户的权限)、(关闭程序)

2.4. 清理处置

      • 详细排查,根除事件引发因素
      • 入手方面:系统基本信息,网络排查、进程排查、注册表排查、计划任务排查、服务排查、关键目录和文件排查、用户组排查、事件日志排查、webshell排查、中间件日志排查、安全设备日志排查
      • 清除:删除文件、修复配置、打补丁

2.5. 恢复确认

      • 小范围系统重启,确认清除效果
      • 持续观察一段时间:一天到一周

2.6. 报告总结

      • 汇总和整理事件应急全过程,提交处理报告
      • 总结事件引发的因素、制定相应的安全生产规范和制度,进行员工培训

3. 挖矿病毒排查

3.1. 现象:

      • CPU队列比较高,使用率爆满
      • 访问正常服务产生超时

3.2. 分析定位

      • 进程排查
      • 网络排查
      • 样本送检(沙箱)

3.3. 清除病毒

      • 清除计划任务,快速杀掉守护进程与病毒主进程

3.4. 恢复确认

      • 进程不再重新启动
      • 计划任务也没有重新添加

3.5. 复盘流程,编写报告

      • 排查病毒引入路径

标签:流程,网络,信息,排查,进程,应急,挖矿
From: https://blog.csdn.net/three_1996/article/details/137152540

相关文章

  • 一文彻底搞懂SpringMVC执行流程
    文章目录1.MVC2.SpringMVC3.执行流程4.配置文件5.常用注解1.MVCMVC(Model-View-Controller)是一种软件架构模式,旨在将应用程序分为三个核心组件:模型(Model):模型代表应用程序的数据和业务逻辑。它负责管理数据的状态和行为,并且不直接处理用户界面或用户输入。通......
  • Flutter应用发布流程详解:从开发到上架一站式指南
     引言Flutter是一款由Google推出的跨平台移动应用开发框架,其强大的性能和流畅的用户体验使其备受开发者青睐。然而,开发一款应用只是第一步,将其成功上架到苹果商店才是实现商业目标的关键一步。本文将详细介绍如何使用Flutter将应用程序上架到苹果商店,让您的应用更快地触达用户,......
  • 视频监控/云存储/AI智能分析平台EasyCVR集成时调用接口报跨域错误的原因排查
    EasyCVR视频融合平台基于云边端架构,可支持海量视频汇聚管理,能提供视频监控直播、云端录像、云存储、录像检索与回看、智能告警、平台级联、智能分析等视频服务。平台兼容性强,支持多协议、多类型设备接入,包括:国标GB/T28181协议、RTMP、RTSP/Onvif协议、海康Ehome、海康SDK、大华SDK......
  • 地平线旭日x3 deeplav3训练 分割模型训练流程(2024.4.2 笔记)
    地平线x3开发资料,版本2.6.2b旭日X3派用户手册https://developer.horizon.ai/api/v1/fileData/documents_pi/Quick_Start/Quick_Start.html地平线X3J3算法工具链https://developer.horizon.cc/api/v1/fileData/horizon_xj3_open_explorer_cn_doc/oe_mapper/source/advanced_con......
  • 记一次使用spring事件机制失效排查修复
    前言在日常业务开发中过程,我们有时候为了业务解耦,会利用spring的机制,就是利用spring提供的ApplicationListener、ApplicationEventMulticaster等核心API来实现。(注:我这边列的是核心底层API接口,正常我们会用监听事件用@EventListener,发布事件用applicationContext.publishEvent()......
  • 在Linux中,有哪些故障排查和诊断工具?
    在Linux中,有多种故障排查和诊断工具可以帮助管理员和开发者快速定位和解决系统或应用程序中的问题。以下是一些常用的故障排查和诊断工具:dmesg命令:dmesg是一个用于显示内核控制的各种消息的工具,包括硬件状态、驱动加载和系统错误等。通过查看这些消息,管理员可以了解系统启动......
  • 运维排查 | Systemd 之服务停止后状态为 failed
    哈喽大家好,我是咸鱼。我们知道CentOS7之后,Systemd代替了原来的SystemV来管理服务,相比SystemV,Systemd能够很好地解决各个服务间的依赖关系,还能让所有的服务同时启动,而不是串行启动。通常情况下,yum安装的软件会由系统的包管理器(如RPM)安装,并且会配置相应的systemd服务......
  • 红队笔记10:pWnOS2.0打靶流程-whatweb指纹识别-searchsploit搜索漏洞利用getshell(vulnh
    目录开头:1.主机发现和端口扫描2.80端口- whatweb指纹识别-searchsploit搜索漏洞并利用whatweb指纹识别:searchsploit搜索历史漏洞:什么是perl?SimplePHPblog登录成功-图片上传getshell3.提权-敏感文件泄露密码泄露尝试登录 4.总结:开头:学习的视频是哔哩哔哩红......
  • 存储故障处理流程演变
    存储作为存放金融企业数据中心各类生产数据的重要载体,其日常的安全平稳运行至关重要。特别是应对若干存储的大量告警,如何从大量告警中提取关键告警消息并及时处理异常,可谓对存储平台的稳定运行起到保驾护航的作用。存储告警处理作为常规工作,一方面需要在技术层面上及时发现告......
  • 4.运算符 与 流程语句
    【一】程序与用户交互1)输入(input)2)输出(print)1.简单字符串print('hello,word!')2.多个变量输出a='one'b='two'print(a,b)#onetwo3.默认end参数print('hello',end='_')print('word!')#hello_word!【二】基本运算符1)算术运算符......